Lỗ hổng BeyondTrust nghiêm trọng: RCE không cần xác thực

BeyondTrust đã công bố một lỗ hổng BeyondTrust nghiêm trọng, cho phép thực thi mã từ xa (Remote Code Execution) trước xác thực. Lỗ hổng này ảnh hưởng đến các nền tảng Remote Support (RS) và Privileged Remote Access (PRA) của hãng, có khả năng khiến hàng ngàn tổ chức đối mặt với nguy cơ xâm nhập hệ thống.

CVE-2026-1731 được phân loại dưới CWE-78 (OS Command Injection). Kẻ tấn công có thể thực thi các lệnh hệ điều hành tùy ý mà không cần xác thực hoặc tương tác với người dùng.

Phân Tích Kỹ Thuật về Lỗ Hổng CVE-2026-1731

Lỗ hổng bảo mật này cho phép kẻ tấn công từ xa, không cần xác thực, gửi các yêu cầu được tạo riêng biệt đến các hệ thống BeyondTrust dễ bị tổn thương. Điều này kích hoạt việc thực thi lệnh trong ngữ cảnh của người dùng trang web.

Đây là một mối đe dọa mạng nghiêm trọng vì nó không yêu cầu thông tin đăng nhập hoặc kỹ thuật tấn công xã hội. Điều này làm cho nó trở thành mục tiêu hấp dẫn cho các tác nhân độc hại tìm cách xâm nhập cơ sở hạ tầng truy cập từ xa của doanh nghiệp.

Khai thác thành công lỗ hổng này có thể dẫn đến việc chiếm quyền kiểm soát hệ thống hoàn toàn. Kẻ tấn công có thể truy cập trái phép vào dữ liệu nhạy cảm, đánh cắp thông tin bí mật và làm gián đoạn các dịch vụ quan trọng. Đồng thời, họ có thể mở rộng tấn công sang các hệ thống khác trong mạng.

Các sản phẩm của BeyondTrust thường được sử dụng cho quản lý truy cập đặc quyền và hỗ trợ từ xa trong môi trường doanh nghiệp. Do đó, tác động của lỗ hổng BeyondTrust này không chỉ giới hạn ở các hệ thống riêng lẻ mà còn lan rộng ra toàn bộ cơ sở hạ tầng tổ chức.

Các Sản Phẩm và Phiên Bản Bị Ảnh Hưởng

Các phiên bản sau đây được xác định là có lỗ hổng:

• Đối với Remote Support: Các phiên bản 25.3.1 và cũ hơn.
• Đối với Privileged Remote Access: Các phiên bản 24.3.4 và cũ hơn.

Các tổ chức đang sử dụng các phiên bản này cần thực hiện hành động ngay lập tức để bảo vệ hệ thống của mình trước nguy cơ remote code execution.

Biện Pháp Khắc Phục và Bản Vá Bảo Mật

BeyondTrust đã phản ứng nhanh chóng với mối đe dọa này. Khách hàng sử dụng BeyondTrust Remote Support SaaS và Privileged Remote Access SaaS đã nhận được các bản vá tự động vào ngày 2 tháng 2 năm 2026. Các bản vá này đã khắc phục hoàn toàn lỗ hổng BeyondTrust.

Tuy nhiên, các khách hàng tự host (self-hosted) phải thực hiện hành động thủ công. Các tổ chức đang sử dụng triển khai tự host cần áp dụng ngay bản vá bảo mật BT26-02-RS cho Remote Support hoặc BT26-02-PRA cho Privileged Remote Access.

Việc này được thực hiện thông qua giao diện /appliance của họ, với điều kiện tính năng cập nhật tự động không được bật.

Tham khảo chi tiết từ thông báo bảo mật chính thức của BeyondTrust tại BeyondTrust Trust Center.

Quy Trình Nâng Cấp và Vá Lỗi Cụ Thể

• Khách hàng đang chạy các phiên bản Remote Support cũ hơn 21.3 hoặc Privileged Remote Access cũ hơn 22.1 phải nâng cấp lên phiên bản được hỗ trợ trước. Sau đó, họ mới có thể áp dụng bản vá bảo mật.
• Thay thế, khách hàng PRA tự host có thể nâng cấp trực tiếp lên phiên bản 25.1.1 hoặc mới hơn, phiên bản này đã bao gồm bản sửa lỗi.
• Khách hàng Remote Support nên nâng cấp lên phiên bản 25.3.2 hoặc mới hơn để được bảo vệ hoàn toàn.

Phát Hiện và Công Bố Lỗ Hổng

Lỗ hổng BeyondTrust này được phát hiện bởi Harsh Jaiswal và nhóm Hacktron AI. Họ đã sử dụng các kỹ thuật phân tích biến thể có hỗ trợ AI để xác định sai sót.

BeyondTrust đã ca ngợi quy trình công bố có trách nhiệm của nhóm nghiên cứu. Quy trình này đã giúp công ty điều tra, phát triển các bản vá và thông báo cho khách hàng trước khi việc khai thác công khai có thể xảy ra.

Khuyến Nghị Bảo Mật

Các tổ chức sử dụng các sản phẩm BeyondTrust bị ảnh hưởng nên ưu tiên vá lỗi ngay lập tức. Điều này nhằm ngăn chặn khả năng khai thác lỗ hổng CVE nghiêm trọng này. Việc triển khai các bản vá bảo mật là bước tối quan trọng để đảm bảo an toàn cho hệ thống và dữ liệu.